サイバーニュース.jp

世界のサイバーなニュースを配信

DEAD#VAXマルウェアキャンペーン:IPFSでホストされたVHDファイル経由でAsyncRATを展開

カテゴリ:

キャンペーンの概要

脅威ハンターがDEAD#VAXと名付けられた新たなマルウェアキャンペーンの詳細を明らかにしました。このキャンペーンは、「巧妙な手口と正当なシステム機能の悪用」を組み合わせ、従来の検出メカニズムを回避してAsyncRATというリモートアクセス型トロイの木馬(RAT)を配布しています。

Securonixの研究者らは、「攻撃はIPFSでホストされたVHDファイル、極端なスクリプトの難読化、実行時復号、そして信頼されたWindowsプロセスへのメモリ内シェルコードインジェクションを利用しており、復号されたバイナリがディスクにドロップされることはありません」と報告しています。

AsyncRATについて

AsyncRATはオープンソースのマルウェアであり、攻撃者は侵害されたエンドポイントを広範に制御できます。これにより、キーロギング、スクリーンおよびウェブカメラのキャプチャ、クリップボードの監視、ファイルシステムアクセス、リモートコマンド実行、再起動後の永続性を通じて、監視およびデータ収集が可能になります。

感染経路の詳細

感染シーケンスの出発点は、分散型ファイルシステム(IPFS)ネットワーク上にホストされた仮想ハードディスク(VHD)を配信するフィッシングメールです。VHDファイルは、ターゲットを欺くために購入注文書のPDFファイルに見せかけられています。

この多段階キャンペーンは、Windows Script Files(WSF)、高度に難読化されたバッチスクリプト、自己解析型PowerShellローダーを悪用して、暗号化されたx64シェルコードを配信するように資金提供されています。このシェルコードがAsyncRATであり、信頼されたWindowsプロセスに直接注入され、完全にメモリ内で実行されるため、ディスク上のフォレンジック痕跡を効果的に最小限に抑えます。

VHDファイルの悪用

研究者らは、「ダウンロード後、ユーザーがこのPDFに見えるファイルを単純に開こうとダブルクリックすると、仮想ハードドライブとしてマウントされます」と説明しています。「VHDファイルの使用は、現代のマルウェアキャンペーンで用いられる、非常に特定の効果的な回避技術です。この挙動は、VHDファイルが特定のセキュリティ制御をどのように回避するかを示しています。」

新しくマウントされたドライブ「E:\」内に表示されるWSFスクリプトは、被害者がPDF文書だと思い込んで実行すると、難読化されたバッチスクリプトをドロップして実行します。このバッチスクリプトは、まず仮想化環境やサンドボックス環境内で実行されていないか、続行するために必要な権限があるかを確認する一連のチェックを実行します。

マルウェアのステルス性強化

すべての条件が満たされると、スクリプトはPowerShellベースのプロセスインジェクターと永続性モジュールを起動します。これは、実行環境の検証、埋め込みペイロードの復号、スケジュールされたタスクを使用した永続性の設定、および最終的なマルウェアのMicrosoft署名済みWindowsプロセス(例: RuntimeBroker.exe, OneDrive.exe, taskhostw.exe, sihost.exe)へのインジェクションを目的としています。これにより、アーティファクトがディスクに書き込まれるのを回避します。

PowerShellコンポーネントは「ステルス性が高く、回復力のある実行エンジン」の基盤を築き、トロイの木馬が完全にメモリ内で実行され、正当なシステムアクティビティに溶け込むことで、侵害された環境への長期的なアクセスを可能にします。

ステルス性をさらに高めるため、マルウェアは実行タイミングを制御し、スリープ間隔を使用して実行を調整します。これにより、CPU使用率を低減し、不審なWin32 APIの急速なアクティビティを回避し、実行時の挙動をより異常でなくします。

現代のマルウェアキャンペーンの課題

研究者らは、「現代のマルウェアキャンペーンは、信頼できるファイル形式、スクリプトの悪用、およびメモリ常駐型実行にますます依存しており、従来のセキュリティ制御を回避しています」と述べています。「単一の悪意のあるバイナリを配信するのではなく、攻撃者は各コンポーネントが単独で分析された場合に無害に見える多段階の実行パイプラインを構築するようになりました。この変化により、検出、分析、およびインシデント対応が防御側にとって著しく困難になっています。」

「この特定の感染チェーンでは、AsyncRATを暗号化されたメモリ常駐型シェルコードとして配信するという決定が、そのステルス性を大幅に高めています。ペイロードは認識可能な実行形式でディスクに現れることはなく、信頼されたWindowsプロセスのコンテキスト内で実行されます。このファイルレス実行モデルは、検出とフォレンジック復元を大幅に困難にし、AsyncRATが従来のエンドポイントセキュリティ制御によって発見されるリスクを低減して動作することを可能にします。」

元記事: https://thehackernews.com/2026/02/deadvax-malware-campaign-deploys.html

投稿をさらに読み込む